Google et Mandiant ont entravé une importante campagne de cyberespionnage chinoise en février 2026 qui avait compromis 53 victimes dans 42 pays depuis 2017, ciblant principalement les fournisseurs de télécommunications et les organisations gouvernementales. L’opération, baptisée GRIDTIDE, exploitait une nouvelle porte dérobée détournant Google Sheets pour communiquer secrètement avec les pirates, permettant au groupe présumé UNC2814 lié à la Chine de fondre ses activités malveillantes dans le trafic cloud légitime tout en dérobant des données sensibles, incluant des informations personnelles et des journaux de communications.
Ce coup de filet représente l’une des neutralisations les plus significatives de l’espionnage chinois ces dernières années, selon un rapport détaillé du Google’s Threat Intelligence Group et de Mandiant. La réponse coordonnée a impliqué la fermeture des projets Google Cloud des attaquants, la désactivation de leur infrastructure et la révocation de l’accès à l’API Google Sheets, véritable colonne vertébrale de l’opération.
Au cours de l’enquête, les chercheurs en sécurité ont découvert que la porte dérobée accédait à des systèmes contenant des informations personnellement identifiables, notamment les noms complets, numéros de téléphone, dates de naissance et numéros d’identité nationaux. Google a précisé que ce niveau d’accès permettait aux attaquants de surveiller les communications et de viser des dissidents, des activistes et d’autres cibles d’intérêt.
Le ciblage des entreprises de télécommunications s’inscrit dans la lignée des efforts historiques d’espionnage chinois visant à dérober des journaux d’appels et des SMS à des fins de surveillance, selon le rapport. Outre les 42 intrusions confirmées, les enquêteurs ont identifié 20 nations supplémentaires soupçonnées d’être touchées par l’infection.
Innovation technique et dissimulation
La porte dérobée GRIDTIDE marquait une évolution sophistiquée des techniques de cyberespionnage. Le logiciel malveillant communiquait avec ses opérateurs en sondant des cellules spécifiques dans Google Sheets, camouflant le trafic malveillant en utilisation légitime de services cloud. La Cellule A1 recevait les ordres, la Cellule V1 stockait les empreintes des machines victimes, et d’autres cellules géraient les transferts de données plus volumineux par blocs de 45 kilooctets, selon l’analyse technique de Google.
Toutes les données transmises étaient encodées via une variante Base64 compatible avec les URL pour contourner les filtres Web et les systèmes de détection. Les attaquants utilisaient aussi Google Drive pour stocker les configurations du malware et déployaient SoftEther VPN Bridge pour établir des connexions chiffrées masquant davantage leurs activités.
Une fois infiltré dans les réseaux, UNC2814 progressait latéralement via SSH à l’aide de comptes de service et assurait sa persistance en créant des services systemd qui lançaient automatiquement le malware au démarrage du système, rapportent les enquêteurs.
Google et Mandiant ont fourni des stratégies de détection spécifiques pour les organisations, incluant la surveillance des processus hors navigateur effectuant des requêtes HTTPS vers Google Sheets et l’identification d’exécutables lancés depuis des répertoires inhabituels. Cette neutralisation souligne comment les services cloud légitimes sont de plus en plus exploités pour l’espionnage, remettant en cause les approches de sécurité traditionnelles qui accordent une confiance par défaut aux grandes plateformes.
Sources
- Google Cloud
